为什么这些引用以Sublime Text 2结尾PHP查询？

Question

我试图写一些查询来响应地操纵MySQL数据，但Sublime Text 2显示查询在我想要之前就结束了。请看下面：

$query = "INSERT INTO `users` (`email`, `password`) VALUES('".mysqli_real_escape_string($link, $_POST['email'])."','".md5(md5($_POST['email'].$_POST['password']))."')"; 

逗号和右括号应该是白色的。

再次，这里是同一个问题：

$query = "SELECT * FROM `users` WHERE `email`='".mysqli_real_escape_string($link, $_POST['login-email'])."' AND `password`='".md5(md5($_POST['login-email'].$_POST['login-password']))."'"; 

我有一个非常困难的时候搞清楚如何编写代码，这样我可以确保它不是在我的脚本中的错误。

任何帮助，将不胜感激。

Answer 1

我相信这是Sublime语法突出显示的限制。请注意，在这两个查询中，SQL语法高亮在字符串连接的第一个实例之后立即结束。如果您想要更全面地突出显示SQL语句，则可能需要考虑使用预准备语句。例如：

$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `password`) VALUES (?, ?)"); 
$stmt->bind_param($_POST['email'], md5(md5($_POST['email'].$_POST['password']))); 
$stmt->execute(); 
$stmt->close(); 

这种方法也会否定手动转义字符串的必要性。

• 简单的例子：http://mattbango.com/notebook/code/prepared-statements-in-php-and-mysqli/
• 文档：http://php.net/manual/en/mysqli.quickstart.prepared-statements.php
• 全部mysqli的文档：http://php.net/manual/en/book.mysqli.php

或者，你可能要考虑使用字符串插值代替concatentation。这似乎也没有涉及SQL语法突出显示。

Answer 2

脚本中没有错误。突出显示在我的Sublime Text中看起来非常好。 您连接了几次文本，并且双引号"之外的代码突出显示肯定会与双引号内的不同。然而，写在一个更好的方法的代码，你可以考虑以下几点：

$email = mysqli_real_escape_string($link, $_POST['email']); 
$pass = md5(md5($_POST['email'].$_POST['password'])); 
$query = "INSERT INTO `users` (`email`, `password`) VALUES('$email','$pass')"; 

而同样为select命令。